36-VLAN Mapping操作
本章节下载 (334.56 KB)
目 录
1.1.3 N:1 VLAN Mapping环境下DHCP Option 82选项的添加方式
1.2.2 配置基于全局映射规则的1:1 VLAN Mapping功能
1.2.3 配置基于端口映射规则的1:1 VLAN Mapping功能
1.3.2 配置DHCP Snooping Option 82功能记录原始VLAN
VLAN Mapping的主要功能是将报文中的VLAN Tag进行替换,在替换后报文将按照新的VLAN进行处理和转发。该功能包括两种实现方式:
l 1:1 VLAN Mapping
l N:1 VLAN Mapping
VLAN Mapping功能主要用于终端用户数量较多且需要通过VLAN进行隔离的园区网环境,可以对多用户上行的同一VLAN数据进行分离,或对同一用户上行的多个VLAN数据进行汇聚。下文中将具体介绍两种实现方式的使用效果。
1:1 VLAN Mapping是指设备可以将某个VLAN的数据映射到另一个VLAN中进行传输,S2000-EA交换机支持配置全局1:1 VLAN Mapping映射规则或为每个端口配置不同的1:1 VLAN Mapping映射规则,当1:1 VLAN Mapping功能生效后,该端口即开始根据映射规则对接收的上行报文进行VLAN Tag的替换工作;当上层设备返回数据时,交换机再根据映射规则进行反向映射,将报文发送给发起请求的设备。
该功能主要用于以下场景:
图1-1 1:1 VLAN Mapping应用场景示意图
如图1-1所示,小区中每个用户都具有多种业务应用,在家庭网关处使用VLAN来区分用户的各种业务数据。由于每个用户的家庭网关都是相同的配置,造成多个用户的同类数据在网络中都采用同样的VLAN传输,这样对于上层设备(例如汇聚交换机)就不能识别该业务是来自哪个用户。
为此,可以在楼道交换机上应用1:1 VLAN Mapping功能,将不同端口收到的相同业务数据映射到不同的VLAN,上层设备便可以根据VLAN来区分该数据来自于哪个用户。采用1:1 VLAN Mapping后的效果如图1-2所示:
图1-2 1:1 VLAN Mapping应用效果示意图
N:1 VLAN Mapping与1:1 VLAN Mapping的原理相似,都是根据配置的映射规则将报文的原始VLAN Tag进行替换,不同的是,N:1 VLAN Mapping可以将来自多个VLAN(VLAN的数量N大于等于2)的报文所携带VLAN Tag中的VLAN ID修改为同一个VLAN ID。
对开启了N:1 VLAN Mapping功能的交换机来说,不但要将上行多个VLAN的数据映射为同一个VLAN向上层传输,而且当上层设备返回数据时,还要将数据准确的反向映射给发起该请求的用户(VLAN)。因此,对N:1 VLAN Mapping的实现方式还需要从上行和下行两个方向进行介绍:
l 上行方向:网络管理者可以通过配置映射策略,指定映射的原始VLAN(多个)和映射后的VLAN。
l 下行方向:设备在接收上行原始VLAN报文时,将报文的源MAC地址记录到原始VLAN的MAC地址表中;当下行的报文到达设备时,设备将根据N:1 VLAN Mapping的映射规则,在对应的所有原始VLAN的MAC地址表中寻找目的MAC地址表项,找到对应表项的同时即可确认原始VLAN,从而将下行报文的VLAN Tag替换后向原始VLAN进行转发。
N:1 VLAN Mapping与1:1 VLAN Mapping的应用场景相同(如图1-1所示),但N:1 VLAN Mapping的主要应用效果是将某个用户上行的多个VLAN流量映射至一个VLAN,从而使上层设备可以根据VLAN来统计某个用户的总体流量。采用N:1 VLAN Mapping后的效果如图1-3所示:
图1-3 N:1 VLAN Mapping应用效果示意图
Option 82称为中继代理信息选项,支持该选项的DHCP Snooping设备可以在DHCP请求报文中添加DHCP客户端的位置信息,其中包括接收客户端DHCP请求报文的端口编号以及所属VLAN,DHCP服务器接收该请求后可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。
在N:1 VLAN Mapping组网中,DHCP服务器通常架设在汇聚层以上的位置,如果需要准确记录客户端的信息,必须了解该用户接入楼道交换机的端口编号以及业务数据的原始VLAN,其中端口编号用于定位用户位置,业务数据的原始VLAN用于确定客户端的设备类型。因此,必须在楼道交换机上配置DHCP Snooping支持Option 82功能,并配置其在Option 82选项中添加业务数据的原始VLAN信息。完成以上配置后,DHCP Option 82选项的添加效果如图1-4所示:
图1-4 N:1 VLAN Mapping环境下DHCP Snooping Option 82的处理方式
表1-1 1:1 VLAN Mapping配置任务简介
配置任务 |
说明 |
详细配置 |
配置基于全局映射规则的1:1 VLAN Mapping功能 |
二者必选其一 |
|
配置基于端口映射规则的1:1 VLAN Mapping功能 |
l 不能在同一端口下同时开启1:1 VLAN Mapping功能和VLAN-VPN功能。
l 1:1 VLAN Mapping功能与协议VLAN功能不能同时配置。
l 1:1 VLAN Mapping功能与N:1 VLAN Mapping功能不能同时配置,如果设备上任意端口上启用了N:1 VLAN Mapping功能,都不能在其它端口上开启1:1 VLAN Mapping功能。
l 1:1 VLAN Mapping功能不能与QoS中的重标记VLAN ID功能同时使用。
l 1:1 VLAN Mapping和IP过滤功能不能同时配置,关于IP过滤功能请参见本手册“DHCP”部分的介绍。
表1-2 配置基于全局映射规则的1:1 VLAN Mapping功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置全局的1:1 VLAN Mapping映射规则 |
vlan-mapping vlan old-vlan-id remark new-vlan-id |
必选 缺省情况下,没有配置全局的1:1 VLAN Mapping映射规则 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
开启当前端口的1:1 VLAN Mapping功能 |
vlan-mapping enable |
必选 缺省情况下,所有端口均没有开启1:1 VLAN Mapping功能 |
l 如果端口已经处在某个聚合组中,将不能开启该端口的1:1 VLAN Mapping功能。
l 在配置基于全局映射规则的1:1 VLAN Mapping功能时,开启当前端口的1:1 VLAN Mapping功能的操作将同时开启该端口的灵活QinQ功能。
表1-3 配置基于端口映射规则的1:1 VLAN Mapping功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口的映射规则,同时开启端口的1:1 VLAN Mapping功能 |
vlan-mapping vlan old-vlan-id remark new-vlan-id |
必选 缺省情况下,所有端口都没有配置映射规则,没有开启1:1 VLAN Mapping功能 |
l 在配置1:1 VLAN Mapping映射规则时,原始VLAN和映射后的VLAN必须一一对应,即每个原始VLAN只能被映射到一个其它VLAN,同时每个映射后的VLAN也只能由一个原始VLAN来映射。
l 如果要修改已存在的1:1 VLAN Mapping映射规则,必须删除原有规则,再重新进行配置。
l 基于全局映射规则的1:1 VLAN Mapping功能和基于端口映射规则的1:1 VLAN Mapping功能不能同时配置。
l 当1:1 VLAN Mapping功能与ARP入侵检测功能配合使用时,需要在原始VLAN和映射后的VLAN内同时开启ARP入侵检测功能,以保证该功能的正确实现。关于ARP入侵检测功能的详细介绍请参见本手册“ARP”部分的介绍。
表1-4 配置N:1 VLAN Mapping映射规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入下行方向的以太网端口视图 |
interface interface-type interface-number |
- |
配置N:1 VLAN Mapping映射规则,同时开启N:1 VLAN Mapping功能 |
vlan-mapping n-to-1 vlan old-vlan-id remark new-vlan-id |
必选 通过多次执行该命令,即可对多个原始VLAN进行映射 |
l N:1 VLAN Mapping功能与1:1 VLAN Mapping功能不能同时配置,如果设备上任意端口上启用了1:1 VLAN Mapping功能,都不能在其它端口上开启N:1 VLAN Mapping功能。
l 下行端口不但要加入用户原始VLAN,而且还需要加入映射后的VLAN。
表1-5 配置DHCP Snooping Option 82功能记录原始VLAN
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
全局配置DHCP Snooping Option 82功能记录原始VLAN |
dhcp-snooping information ignore-vlanmapping |
必选 缺省情况下,没有配置该功能,设备会在Option 82选项中记录映射后的VLAN信息 |
进入下行方向的以太网端口视图 |
interface interface-type interface-number |
- |
在端口上配置DHCP Snooping Option 82功能记录原始VLAN |
dhcp-snooping information ignore-vlanmapping |
必选 缺省情况下,没有配置该功能,设备会在Option 82选项中记录映射后的VLAN信息 |
全局开启/关闭DHCP Snooping Option 82功能记录原始VLAN对设备的所有端口生效。
某小区的组网结构如图1-5所示,每个小区用户均部署了三种应用:PC、VoD以及VoIP,在为每个用户配置的家庭网关上,分别为这三种应用分配了VLAN1、VLAN2、VLAN3来进行标识。
现需要在楼道交换机上配置1:1 VLAN Mapping功能,将不同用户上行的相同业务数据进行区分,从而使汇聚层设备能够根据VLAN来识别具体的用户。
本例中仅以两个用户为例介绍1:1 VLAN Mapping的配置:将用户A的三种流量分别映射为VLAN1001、VLAN1002、VLAN1003,将用户B的三种流量分别映射为VLAN2001、VLAN2002、VLAN2003。
图1-5 1:1 VLAN Mapping典型配置举例组网图
# 在SwitchA上创建VLAN1(缺省已存在)、VLAN2、VLAN3,以及映射后的VLAN1001~VLAN1003、VLAN2001~VLAN2003。
<SwitchA> system-view
[SwitchA] vlan 2 to 3
[SwitchA] vlan 1001 to 1003
[SwitchA] vlan 2001 to 2003
# 由于SwitchA的Ethernet1/0/1在上行方向需要接收用户原始VLAN的报文,在下行方向还要转发由汇聚层发送的的映射后的VLAN中的数据,因此这个端口需要配置为Trunk或Hybrid端口。下面以Hybrid端口为例,配置该端口允许原始VLAN以及映射后的VLAN的报文携带VLAN Tag通过。
[SwitchA] interface Ethernet 1/0/1
[SwitchA-Ethernet1/0/1] port link-type hybrid
[SwitchA-Ethernet1/0/1] port hybrid vlan 1 to 3 tagged
[SwitchA-Ethernet1/0/1] port hybrid vlan 1001 to 1003 tagged
[SwitchA-Ethernet1/0/1] quit
# 同理,配置端口Ethernet1/0/2以同样的方式加入原始VLAN以及映射后的VLAN。
[SwitchA] interface Ethernet 1/0/2
[SwitchA-Ethernet1/0/2] port link-type hybrid
[SwitchA-Ethernet1/0/2] port hybrid vlan 1 to 3 tagged
[SwitchA-Ethernet1/0/2] port hybrid vlan 1001 to 1003 tagged
[SwitchA-Ethernet1/0/2] quit
l 如果将Ethernet1/0/1和Ethernet1/0/2端口设置成Trunk端口,同样需要将端口加入相应的原始VLAN和映射后的VLAN。
l 以上举例中默认所有端口的缺省VLAN均为VLAN1,如果用户更改了端口的缺省VLAN,则必须配置端口允许缺省VLAN通过。
# 配置SwitchA的GigabitEthernet1/1/1端口为Trunk端口,可以传输所有映射后的VLAN的报文。
[SwitchA] interface GigabitEthernet 1/1/1
[SwitchA-GigabitEthernet1/1/1] port link-type trunk
[SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 1001 to 1003
[SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 2001 to 2003
[SwitchA-GigabitEthernet1/1/1] quit
# 配置Ethernet1/0/1端口的1:1 VLAN Mapping功能,将原始VLAN为1的报文映射到VLAN1001。
[SwitchA] interface Ethernet 1/0/1
[SwitchA-Ethernet1/0/1] vlan-mapping vlan 1 remark 1001
# 按同样方法完成其余原始VLAN的映射配置。
[SwitchA-Ethernet1/0/1] vlan-mapping vlan 2 remark 1002
[SwitchA-Ethernet1/0/1] vlan-mapping vlan 3 remark 1003
[SwitchA-Ethernet1/0/1] quit
# 按同样方法完成Ethernet1/0/2端口的1:1 VLAN Mapping配置。
[SwitchA] interface Ethernet 1/0/12
[SwitchA-Ethernet1/0/12] vlan-mapping vlan 1 remark 2001
[SwitchA-Ethernet1/0/12] vlan-mapping vlan 2 remark 2002
[SwitchA-Ethernet1/0/12] vlan-mapping vlan 3 remark 2003
某小区的组网结构如图1-6所示,每个小区用户均部署了三种应用:PC、VoD以及VoIP,在为每个用户配置的家庭网关上,分别为这三种应用分配了VLAN1、VLAN2、VLAN3来进行标识。
汇聚层设备只需要统计每个用户的所有流量,而无需考虑业务类型,因此需要在楼道交换机上配置N:1 VLAN Mapping功能,将每个用户的上行业务数据映射到不同的VLAN,使上层设备能够根据VLAN来统计用户流量。
本例中仅以两个用户为例介绍N:1 VLAN Mapping的配置:将用户A的所有流量全部映射到VLAN1001中,将用户B的所有流量全部映射到VLAN2001中。
同时,用户的客户端设备全部采用DHCP自动获取IP地址的方式,为精确记录用户信息,要求楼道交换机使用DHCP Snooping Option82功能,并在Option 82选项中写入数据原始VLAN的信息。
图1-6 N:1 VLAN Mapping典型配置举例组网图
# 在SwitchA上创建VLAN1(缺省已存在)、VLAN2、VLAN3,以及映射后的VLAN1001和VLAN2001。
<SwitchA> system-view
[SwitchA] vlan 2 to 3
[SwitchA] vlan 1001 to 1003
[SwitchA] vlan 2001 to 2003
# 将Ethernet1/0/1端口配置为Trunk端口,允许原始VLAN的报文通过。
[SwitchA] interface Ethernet 1/0/1
[SwitchA-Ethernet1/0/1] port link-type trunk
[SwitchA-Ethernet1/0/1] port trunk permit vlan 1 to 3
# 配置端口Ethernet1/0/1允许映射后的VLAN1001通过。
[Sysname-Ethernet1/0/1] port trunk permit vlan 1001
# 在Ethernet1/0/1端口上配置N:1 VLAN Mapping功能,将VLAN1~VLAN3的报文映射到VLAN1001中。
[Sysname-Ethernet1/0/1] vlan-mapping n-to-1 vlan 1 remark 1001
[Sysname-Ethernet1/0/1] vlan-mapping n-to-1 vlan 2 remark 1001
[Sysname-Ethernet1/0/1] vlan-mapping n-to-1 vlan 3 remark 1001
[Sysname-Ethernet1/0/1] quit
# 按同样方法配置Ethernet1/0/2端口的N:1 VLAN Mapping功能。
[SwitchA] interface Ethernet 1/0/2
[SwitchA-Ethernet1/0/2] port link-type trunk
[SwitchA-Ethernet1/0/2] port trunk permit vlan 1 to 3
[SwitchA-Ethernet1/0/2] port trunk permit vlan 2001
[Sysname-Ethernet1/0/2] vlan-mapping n-to-1 vlan 1 remark 2001
[Sysname-Ethernet1/0/2] vlan-mapping n-to-1 vlan 2 remark 2001
[Sysname-Ethernet1/0/2] vlan-mapping n-to-1 vlan 3 remark 2001
[Sysname-Ethernet1/0/2] quit
# 将上行端口GigabitEthernet1/1/1端口配置为Trunk端口,允许映射后的VLAN1001和VLAN2001通过。
[SwitchA] interface GigabitEthernet 1/1/1
[SwitchA-GigabitEthernet1/1/1] port link-type trunk
[SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 1001 2001
# 在SwitchA上开启DHCP Snooping功能,并配置GigabitEthernet1/1/1为信任端口。
[Sysname] dhcp-snooping
[Sysname] interface GigabitEthernet 1/1/1
[Sysname-GigabitEthernet1/1/1] dhcp-snooping trust
[Sysname-GigabitEthernet1/1/1] quit
# 在SwitchA上开启DHCP Snooping支持Option 82功能。
[Sysname] dhcp-snooping information enable
用户还可以通过其它配置来调整Option 82选项的添加内容和格式,详细配置请参见“DHCP”部分的介绍。
# 配置SwitchA在向DHCP请求报文中添加Option 82信息时写入报文原始VLAN信息。
[Sysname] dhcp-snooping information ignore-vlanmapping
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!